Передача ПДн между WB/Ozon и селлером
Маркетплейсы передают селлеру имя, телефон и адрес покупателя как минимум для доставки. Вопрос не в том, нужны ли эти данные — нужны. Вопрос в том, какая норма ст. 6 ФЗ-152 обосновывает передачу, кто несёт ответственность при утечке и что должно быть в документах. После вступления в силу ФЗ-420 от 30.11.2024 и изменений в ст. 9 ФЗ-152 (ФЗ-156 от 24.06.2025) цена неоформленных отношений между маркетплейсом и продавцом выросла кратно. Этот материал — пошаговый разбор: от правовой модели до чек-листа документов.
Шаг 1. Определите, кем вы являетесь: оператором или обработчиком?
Ключевое разграничение — самостоятельность в определении целей обработки. Маркетплейс (WB, Ozon) собирает ПДн покупателя напрямую: при регистрации, оформлении заказа, использовании программы лояльности. Селлер получает данные от маркетплейса — уже в рамках сложившихся правоотношений.
Если продавец использует полученные данные только для исполнения конкретного заказа и не вправе применять их для иных целей — он действует как лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Если продавец формирует собственную базу покупателей, запускает рассылки, передаёт данные своим подрядчикам — он самостоятельный оператор и обязан уведомить Роскомнадзор по ст. 22 ФЗ-152.
Практическое следствие: если договор с маркетплейсом не содержит положений о поручении обработки с указанием перечня действий, категорий данных и обязательств по конфиденциальности — формальные основания для передачи ПДн отсутствуют. Это нарушение ч. 1 ст. 13.11 КоАП.
Шаг 2. Проверьте договор с маркетплейсом на наличие условий о поручении обработки
Оферты WB и Ozon содержат разделы о персональных данных, однако их содержание и актуальность необходимо проверять к дате подписания и при каждом обновлении оферты. Договор-поручение на обработку ПДн по п. 3 ст. 6 ФЗ-152 должен включать: перечень передаваемых категорий ПДн, цели обработки, перечень действий с данными, требования к конфиденциальности и срок уничтожения данных после прекращения обработки.
Если в оферте маркетплейса этих элементов нет или они сформулированы в общих словах — продавец не имеет надлежащего правового основания для обработки полученных данных. В этом случае необходимо либо добавить соответствующее соглашение, либо запросить у маркетплейса отдельный документ о поручении.
Ваш договор с маркетплейсом не содержит раздела о поручении обработки ПДн?
Маркетолог получает данные покупателей ежедневно — без надлежащего правового основания это нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица). Юристы DATUM проведут аудит договора с WB или Ozon, выявят пробелы и подготовят комплект документов для закрытия рисков. Времени на устранение нарушения без штрафа — до первой проверки РКН.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Шаг 3. Разберитесь с cookies — это тоже персональные данные
Cookies — идентификаторы, которые в совокупности с другими данными позволяют установить личность пользователя. Роскомнадзор в разъяснениях 2023–2024 годов квалифицирует cookies как ПДн при наличии такой совокупности. Это означает: размещение на сайте продавца счётчиков GA4, Meta Pixel, Яндекс.Метрики без баннера согласия — нарушение ч. 1 ст. 9 ФЗ-152 и ч. 1 ст. 13.11 КоАП.
С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом и не может быть объединено с политикой конфиденциальности, пользовательским соглашением или офертой. Баннер cookies — форма такого отдельного согласия для целей сбора данных через трекеры.
Для GA4 дополнительно действует ст. 12 ФЗ-152: передача данных на серверы Google — трансграничная передача. США не входят в перечень стран с адекватным уровнем защиты ПДн по приказу РКН. До передачи необходимо уведомить РКН по установленной форме.
Шаг 4. Оцените, нужна ли вам отдельная политика конфиденциальности для сайта или лендинга
Если у продавца есть собственный сайт, лендинг или интернет-магазин (помимо страницы на маркетплейсе) — он обязан разместить политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152. Политика должна содержать: цели обработки, правовые основания, категории субъектов и ПДн, сроки хранения, порядок реагирования на запросы субъектов и перечень третьих лиц, которым данные передаются.
Отсутствие политики или её размещение без обязательных разделов — нарушение ч. 3 ст. 13.11 КоАП: штраф для юрлица 30 000–60 000 ₽. Это отдельное основание, не поглощаемое другими нарушениями.
Политика для интернет-магазина или сайта с программой лояльности должна отражать: передачу данных в службы доставки, колл-центры, CRM-системы, маркетинговые платформы (если они используются). Каждый получатель данных — либо сторона договора-поручения, либо самостоятельный оператор с отдельным согласием субъекта.
Как правильно оформить email-рассылки и программы лояльности?
Email-рассылка — обработка ПДн с целью, как правило, не связанной с исполнением договора купли-продажи. Это означает: правовое основание по п. 5 ст. 6 ФЗ-152 (исполнение договора) не работает. Необходимо отдельное согласие субъекта на получение маркетинговых сообщений.
С 01.09.2025 согласие на рассылку — отдельный документ (ФЗ-156). Галочка «Согласен на рассылку» в форме заказа, совмещённая с офертой или политикой, недействительна. Практика РКН 2025 года: жалобы субъектов на нежелательные рассылки — один из ключевых индикаторов риска для внеплановой проверки.
Для программ лояльности — аналогичная логика. Накопление баллов, история покупок, профиль предпочтений — это отдельные цели обработки, требующие самостоятельных правовых оснований. Если программа лояльности реализована через маркетплейс — проверьте, предусматривает ли оферта WB/Ozon передачу этих данных продавцу и на каком основании.
Если маркетолог использует GA4, Метрику или рассылки без отдельного согласия субъектов — до 01.09.2025 это было серой зоной, после — прямое нарушение ФЗ-156. Юристы DATUM проверят комплект документов и закроют пробелы по ст. 9 ФЗ-152.
Собрать ОРД под ключШаг 5. Составьте реестр обработок и уведомите РКН
Если продавец самостоятельно определяет цели обработки ПДн покупателей — он обязан уведомить РКН о намерении осуществлять обработку (ст. 22 ФЗ-152) до начала обработки. Неуведомление или несвоевременное уведомление — штраф по ч. 10 ст. 13.11 КоАП: 100 000–300 000 ₽ для юрлица.
Реестр операторов ПДн — публичный, проверяется РКН автоматически через систему мониторинга сайтов. Если на сайте продавца есть форма заказа обратного звонка, подписки или регистрации — РКН видит сбор данных и сверяет с реестром. По данным статистики РКН, в 2024 году было проведено более 1 000 плановых и внеплановых проверок.
Шаг 6. Проверьте локализацию и трансграничную передачу
Ч. 5 ст. 18 ФЗ-152 обязывает записывать, систематизировать, накапливать, хранить, уточнять и извлекать ПДн граждан РФ исключительно в базах данных на территории России. Это требование применяется к продавцу напрямую, если он использует зарубежные CRM, облачные хранилища или аналитические платформы.
Нарушение локализации — ч. 8 ст. 13.11 КоАП: штраф для юрлица 1 000 000–6 000 000 ₽. При повторном нарушении — 6 000 000–18 000 000 ₽ по ч. 9. С 01.07.2025 (ФЗ-233 от 28.06.2025) требования к локализации ужесточены: первичный сбор ПДн граждан РФ должен осуществляться в российских базах данных.
Использование GA4 — потенциальная трансграничная передача данных в Google LLC (США). До передачи оператор обязан уведомить РКН по ст. 12 ФЗ-152. Альтернатива — настройка GA4 с маршрутизацией через российский прокси или переход на Яндекс.Метрику с российской инфраструктурой хранения.
Типовые ситуации: как это выглядит на практике
Ситуация 1. Продавец использует данные покупателей WB для собственной рассылки. Получив имя и email в рамках исполнения заказа, продавец добавляет покупателя в базу CRM и запускает рассылку акций. Оферта WB не предусматривает такую цель обработки, отдельного согласия нет. Это одновременно нарушение ч. 1 ст. 13.11 (обработка, несовместимая с целями) и ч. 2 ст. 13.11 (обработка без согласия). Суммарный штраф для юрлица — до 1 000 000 ₽. При повторном нарушении по ч. 2.1 — до 1 500 000 ₽.
Ситуация 2. Сайт продавца использует GA4 без уведомления РКН о трансграничной передаче. В Центральном федеральном округе, осень 2025 года: розничный продавец электроники получил предписание РКН по итогам мониторинга сайта. На сайте — форма сбора email, счётчик GA4, отсутствует баннер cookies. Нарушения: ч. 1 ст. 13.11 (обработка без основания), ч. 3 ст. 13.11 (нет политики), трансграничная передача без уведомления. Три отдельных состава — три протокола. Общий штраф составил несколько сотен тысяч рублей. После сопровождения юристами удалось снизить итоговую сумму за счёт применения ст. 4.1 КоАП и устранения нарушений до вынесения постановления.
Ситуация 3. Продавец на Ozon без уведомления в реестре РКН. Продавец работает на Ozon три года, ведёт собственный сайт с формой обратной связи. Уведомление в реестре операторов ПДн не подавалось. В рамках плановой проверки 2026 года РКН выявил обработку ПДн вне реестра. Протокол по ч. 10 ст. 13.11 КоАП — штраф 100 000–300 000 ₽. Уведомление подано уже после возбуждения дела, что не освобождает от ответственности, но может быть учтено как смягчающее обстоятельство по ст. 4.2 КоАП.
Что подготовить продавцу на маркетплейсе
- Уведомление в реестре операторов ПДн РКН (pd.rkn.gov.ru) — до начала самостоятельной обработки по ст. 22 ФЗ-152
- Договор-поручение на обработку ПДн с маркетплейсом (WB, Ozon) — с перечнем действий, категорий ПДн и сроком хранения по п. 3 ст. 6 ФЗ-152
- Политика конфиденциальности сайта с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — включая третьих лиц (службы доставки, CRM, рассылки)
- Отдельные согласия на cookies, рассылки и программы лояльности — в соответствии с ФЗ-156 от 24.06.2025 (с 01.09.2025)
- Уведомление РКН о трансграничной передаче — если используется GA4, Mailchimp или иные зарубежные сервисы по ст. 12 ФЗ-152
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка договоров с маркетплейсами, сайта и документов продавца
- Комплект ОРД под ключ — политика, согласия, договоры-поручения, уведомление РКН
- Защита при штрафе в арбитраже — обжалование протоколов по ч. 1, 2, 8, 10 ст. 13.11 КоАП
Частые вопросы
1. Считаются ли cookies персональными данными?
По позиции Роскомнадзора — да, если cookies в совокупности с иными данными позволяют идентифицировать пользователя. Это касается аналитических и рекламных cookies (GA4, Яндекс.Метрика, пиксели соцсетей). Технические cookies, необходимые исключительно для работы сайта, как правило, не требуют отдельного согласия. Для всех остальных — баннер согласия обязателен как форма отдельного документа по ст. 9 ФЗ-152 в редакции с 01.09.2025. Отсутствие баннера — основание для нарушения по ч. 1 ст. 13.11 КоАП (штраф юрлицу 150 000–300 000 ₽).
2. Можно ли использовать GA4 после ужесточений 2025 года?
Использовать GA4 технически возможно, но с соблюдением требований ФЗ-152. Необходимо: получить согласие пользователя через баннер cookies, уведомить РКН о трансграничной передаче ПДн в США (ст. 12 ФЗ-152), отразить GA4 как получателя данных в политике конфиденциальности. Альтернатива — настройка маршрутизации через российский сервер или переход на российские аналоги с локальным хранением данных по ч. 5 ст. 18 ФЗ-152.
3. Кто оператор: маркетплейс или продавец?
Маркетплейс (WB, Ozon) — первичный оператор, собирающий ПДн покупателя при регистрации и оформлении заказа. Продавец становится самостоятельным оператором, если самостоятельно определяет цели и способы обработки данных: ведёт CRM, запускает рассылки, передаёт данные подрядчикам. Если продавец обрабатывает данные исключительно в рамках исполнения заказа и только по инструкции маркетплейса — он действует как обработчик по п. 3 ст. 6 ФЗ-152 и договор-поручение обязателен.
4. Что грозит за отсутствие баннера cookies?
Отсутствие баннера cookies при использовании аналитических трекеров — нарушение ч. 1 ст. 13.11 КоАП (обработка ПДн без надлежащего основания). Штраф для юрлица — 150 000–300 000 ₽. При повторном нарушении по ч. 1.1 — до 500 000 ₽. Если на том же сайте отсутствует политика конфиденциальности — дополнительный штраф по ч. 3 ст. 13.11 (30 000–60 000 ₽). Составы не поглощают друг друга: возможны два протокола одновременно.
5. Как правильно оформить отзыв подписки на рассылку?
Субъект ПДн вправе отозвать согласие на обработку данных в любой момент (ч. 2 ст. 9 ФЗ-152). Механизм отзыва должен быть простым и доступным — ссылка «отписаться» в каждом письме обязательна. После отзыва согласия оператор обязан прекратить обработку ПДн в течение 30 дней, если иное не предусмотрено законом или договором. Фиксируйте дату отзыва и подтверждайте прекращение обработки. Журнал обращений субъектов — обязательный элемент ОРД.
Итог
Передача ПДн между маркетплейсом и продавцом — многоуровневая юридическая конструкция. Продавец может выступать обработчиком (по договору-поручению) или самостоятельным оператором — в зависимости от того, как он использует полученные данные. Каждое самостоятельное использование требует отдельного правового основания по ст. 6 ФЗ-152, уведомления РКН, корректных согласий и локализации данных.
Юристы DATUM сопровождают продавцов на WB и Ozon в части соответствия ФЗ-152: аудит договоров с маркетплейсами, формирование пакета ОРД, уведомления РКН о трансграничной передаче, защита при штрафах по ст. 13.11 КоАП.
11 февраля 2027 года